Este artículo se escribió originalmente en febrero de 2014 y recibe actualizaciones periódicas a medida que cambian las tácticas.
Consejo:si su sitio web está actualmente pirateado, esta no es la guía que desea. Consulte nuestra guía para limpiar un sitio de WordPress pirateado. Luego vuelve aquí para endurecerlo después el sitio web ha sido limpiado.
¿Cómo y por qué se desfiguran, piratean o corrompen los sitios web?
La mayoría de los sitios están comprometidos por vulnerabilidades conocidas en secuencias de comandos y aplicaciones web obsoletas . En pocas palabras, esto significa que si ejecuta versiones desactualizadas de software popular, como tableros de mensajes, software de blogs o sistemas de administración de contenido, su sitio web podría estar en riesgo. Otras formas en que un sitio web se ve comúnmente comprometido es debido a contraseñas inseguras o robadas y permisos de archivo incorrectos.
¿Por qué alguien querría hackear mi sitio web? No almaceno ninguna información personal o financiera en mi sitio, por lo que no debería preocuparme por esto, ¿verdad? Muchas personas sienten que debido a que piensan que nadie quiere comprometer su sitio web, no necesitan preocuparse por su seguridad. Basta .
Aunque es posible que no deseen ninguna información en su sitio, la mayoría de las veces su sitio se utilizará para propagar virus, spyware o engañar a sus visitantes para que visiten sitios con ellos. La mayoría de los sitios comprometidos que vemos tienen código malicioso inyectado en los archivos para hacer precisamente esto.
Complementos y herramientas de seguridad
Tenga cuidado con los complementos y herramientas de seguridad de WordPress. La mayoría de ellos tienden a centrarse en prevenir daños mayores después alguien ya ha pirateado su sitio u ocultado cosas como su página de inicio de sesión de WordPress (que es como arrojar una sábana sobre su puerta y esperar que nadie se dé cuenta), en lugar de prevenir las intrusiones.
Después de que alguien haya obtenido acceso, es excepcionalmente difícil determinar lo que ha hecho, por lo que es considerablemente más importante bloquearlo en primer lugar. Por lo tanto, nuestros consejos se centran en los tipos de cambios que puede realizar en su sitio para evitar intrusiones .
Es posible que esté pensando “¿pero no se está perdiendo docenas de otras prácticas de seguridad?” Quizás haya leído sobre ellos en otros blogs o de otros proveedores de alojamiento o expertos de WordPress. Hay un montón de artículos por ahí con más de 50 mejoras de seguridad que puedes hacer en WordPress... en nuestra opinión, cualquier cosa más de lo que ves a continuación es una exageración. La mayoría de esos más de 50 ajustes están diseñados para evitar que las herramientas automatizadas causen daños después ya han obtenido acceso de administrador a su sitio web. Si sigue cada paso de esta guía, en primer lugar, lo guiará hacia la prevención del acceso a su sitio web de WordPress.
10 formas de fortalecer su sitio web
Consejo n.º 1 :¡Realice copias de seguridad periódicas! (Si hospeda con nosotros, aquí le mostramos cómo automatizar las copias de seguridad) Si tiene una copia de seguridad, restaurar una copia de seguridad es muchísimo más rápido y más simple que limpiar un sitio de WordPress pirateado.
1. Instale un complemento de límite de intentos de inicio de sesión
Nota:esto es opcional si hospeda con nosotros. El motivo se puede encontrar en el cuadro a continuación.
Este complemento le permitirá limitar la cantidad de intentos de inicio de sesión fallidos para su tablero de WordPress. Esto protegerá contra las personas que intentan iniciar sesión en su sitio web con contraseñas aleatorias una y otra vez en un intento de "fuerza bruta" en el sistema. Puede descargar el complemento aquí, que establecerá el límite de 3 intentos.
Si ha utilizado nuestro instalador de aplicaciones web con un solo clic, este complemento debe instalarse de forma predeterminada. Si no es así, puede instalarlo usando el enlace de arriba.
¿Sabía que nuestro alojamiento de WordPress viene con herramientas a nivel de servidor para detectar automáticamente múltiples intentos de inicio de sesión desde la misma IP y prohibir las direcciones IP maliciosas? No hace ningún daño instalar un complemento, pero con nuestro alojamiento, ¡ya no es esencial!
2. Usuarios administradores:use contraseñas seguras y auditelas
Nunca use una contraseña "temporal" que planee volver a cambiar más tarde; es muy fácil olvidarse de ajustarla. Cuando va a cambiar su contraseña en WordPress en Usuarios, por defecto proporciona una contraseña segura generada automáticamente. Utilice lo que proporciona y no intente utilizar uno propio, que probablemente será más débil.
Si tiene problemas para mantener/recordar contraseñas largas, no lo culpamos:use un administrador de contraseñas como LastPass o 1Password que realizará un seguimiento de todas sus contraseñas generadas aleatoriamente y las bloqueará todas con una contraseña maestra segura.
También se recomienda auditar a los usuarios administradores cada pocos meses eliminando los usuarios administradores que no necesita. Establezca una tarea en su software de lista de tareas pendientes de su elección para hacer esto trimestralmente.
3. Siempre actualice su software
Nota:las actualizaciones son 100 % automáticas si aloja su sitio de wordpress con nosotros, se asegura de que todos los complementos o temas premium tengan sus licencias activadas y tenga habilitadas las actualizaciones automáticas en las aplicaciones web de 1 clic.
Esto incluye el software principal de WordPress, todos los complementos y todos los temas que haya instalado. Este paso combinado con contraseñas seguras son los dos pasos más importantes . WordPress y los desarrolladores de complementos y temas lanzan actualizaciones para agregar funciones y reparar fallas de seguridad. Es crucial que actualice su software cada vez que haya una nueva versión disponible.
Si está utilizando complementos o temas comerciales, asegúrese de seguir sus instrucciones para guardar una clave de licencia a la configuración del complemento para habilitar la actualización automática. Esta es una opción para la mayoría de los complementos comerciales como las extensiones BeaverBuilder, Gravity Forms y WooCommerce.
Si su tema o complemento comercial no es compatible con la actualización automática, deberá agregar una tarea recurrente a su software de lista de tareas pendientes para verificar regularmente si hay actualizaciones e instalarlas manualmente. Cuando nos encontramos con dichos complementos, el desarrollador debe agregar la actualización automática y, si no tienen la intención de hacerlo, encontraremos una alternativa. Esto se debe a que no vale la pena el tiempo necesario para estar al tanto de las actualizaciones manuales de complementos o temas.
4. Eliminar software antiguo
Si tiene varias versiones de WordPress instaladas en su sitio web (o cualquier otra pieza de software) y ya no usa una de ellas, aún deberá asegurarse de que esté actualizada o eliminarla por completo. Las instalaciones de software obsoletas y olvidadas son un método muy común en el que las herramientas de piratería automatizadas obtienen acceso a su sitio web.
Lo mismo es cierto para los complementos y temas instalados. Si no los estás usando, ¡quítalos!
5. Habilitar y forzar HTTPS
¡Usar HTTPS en lugar del inseguro HTTP es fácil en estos días!
- Haga clic aquí para saber cómo instalar un certificado Let's Encrypt en su dominio
- Siga nuestra guía para aprender a forzar HTTPS en todo su sitio web.
Ahora todos los inicios de sesión en WordPress estarán totalmente protegidos de principio a fin. ¡No se pueden rastrear contraseñas a través del cable!
6. Use un complemento de seguridad como WordFence o Sucuri
Hay algunas cosas a tener en cuenta sobre esto:
- Si está hospedado con nosotros, esta no es una herramienta esencial. Usamos una combinación de firewalls que bloquean casi todos los tipos de intentos de intrusión que WordFence, desde ataques de fuerza bruta hasta sondeo de vulnerabilidades.
- Muchos complementos de seguridad son una farsa que solo hacen recomendaciones y no protegen activamente su sitio web. Consideramos que WordFence es el mejor del grupo, seguido de cerca por Sucuri.
- WordFence también es útil cuando se limpia un sitio web pirateado, ya que tiende a encontrar la más archivos infectados y limpiarlos automáticamente.
- Si tiene un VPS, no está de más habilitar los escaneos semanales de WordFence. Si está en un alojamiento compartido, habilitar esos escaneos puede consumir recursos innecesariamente, especialmente si implementará todo lo demás en esta lista y si aloja con nosotros.
Nota:hemos probado muchos de estas herramientas para llegar a estas conclusiones. Incluso hemos visto algunos llamados complementos de seguridad instalados previamente en sitios que han sido pirateados, ¡lo hicieron muy bien!
7. Denegar el acceso para iniciar sesión a cualquiera que no sea usted mismo
Este paso no es esencial si ya tiene contraseñas muy seguras para todos sus usuarios de nivel de administrador, sin embargo, no hay nada de malo en aplicarlo si le gusta usar un sombrero de papel de aluminio.
Lea nuestra guía para aprender a proteger con contraseña su carpeta wp-admin con autenticación HTTP. Al seguir la guía, la carpeta a ingresar será la carpeta wp-admin.
Una vez completado, tendrá dos niveles de ingreso de contraseña antes de llegar al administrador, HTTP Auth y su inicio de sesión de administrador estándar de WordPress. Asegúrese de hacer que las contraseñas sean diferentes; si son iguales, un bot que intente adivinarlos no tendrá ningún problema después de atravesar la primera capa.
8. Ejecute el PHP más reciente en modo Fast-CGI o FPM siempre que sea posible.
Si está utilizando un panel de control actual, podrá elegir entre ejecutar PHP por FastCGI o Apache PHP. Elija el método FastCGI o FPM cuando sea posible.
En WordPress, hay muchos temas y complementos que creen que necesitan establecer permisos de acceso global 777 para escribir correctamente en las carpetas y cargar contenido. Están equivocados en la mayoría de los casos. "777" significa que todos los alojados en ese servidor pueden leer, escribir y ejecutar cualquiera de los archivos que tienen esos permisos.
Este es un gran riesgo de seguridad y es un problema importante si se encuentra en un entorno de alojamiento web compartido. Si otro sitio web se ve comprometido en el mismo servidor, podrá acceder a cualquiera de sus archivos y carpetas que tengan el conjunto de permisos 777.
El uso del modo FastCGI o FPM obliga a PHP a ejecutarse como su nombre de usuario y evitará estos problemas por completo y funcionará muy bien con los permisos predeterminados de archivos y carpetas. Si aloja con nosotros, el modo FPM o FastCGI es el predeterminado para su sitio web.
Asegúrese de estar ejecutando la última versión de PHP. Los desarrolladores de PHP solo admiten regularmente las últimas dos versiones principales, por lo que ejecutar versiones anteriores como 7.0 o anteriores (a partir de diciembre de 2019) podría crear riesgos de seguridad para su sitio.
9. Nunca almacene sus contraseñas en su computadora a menos que estén encriptadas
Muchos programas en su computadora realmente almacenan sus contraseñas en texto sin formato. Esto significa que si tiene un virus o una pieza particular de software espía en su computadora, es posible que pueda acceder al FTP o a las credenciales basadas en la web para su instalación de WordPress o sitio web.
Si desea guardar sus contraseñas en sus aplicaciones, asegúrese de verificar si están encriptadas o almacenadas en texto sin formato. Por ejemplo, cualquier aplicación que almacene contraseñas utilizando el sistema de llavero de Apple, tiene un almacenamiento de contraseñas totalmente seguro. Lamentablemente, FileZilla no una de estas aplicaciones, por lo que guardar su contraseña en la herramienta de administración del sitio de FileZilla podría ser problemático si su computadora alguna vez se infecta con un virus que sabe buscar archivos de datos de FileZilla.
10. Asegúrese de estar siempre ejecutando un software antimalware en su computadora
Aunque este debería ser evidente, es muy común que las personas no ejecuten ninguno de estos. No importa cuán seguro sea su sitio web o el servidor si las personas pueden obtener sus contraseñas de su computadora personal .
Si sigue estos consejos, solo quedan dos métodos que podrían usarse para piratear su sitio:
- Vulnerabilidades de día cero, que son imposibles de predecir y proteger contra ellas, aunque la mejor respuesta a ellas es rápido actualizaciones, que nuestra utilidad de aplicaciones web de 1 clic maneja por usted.
- Ingeniería social, donde alguien te engaña para que reveles tu contraseña. Para evitar esto, simplemente esté atento y no proporcione su contraseña.